CVE-2024-29988

Microsoft SmartScreen Prompt

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-04-30

Официальное описание

Microsoft SmartScreen Prompt contains a security feature bypass vulnerability that allows an attacker to bypass the Mark of the Web (MotW) feature. This vulnerability can be chained with CVE-2023-38831 and CVE-2024-21412 to execute a malicious file.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-29988 представляет собой логическую ошибку в механизме Microsoft SmartScreen, которая позволяет злоумышленнику обойти защитную метку Mark of the Web (MotW). Уязвимость возникает при обработке специально сформированных файлов, которые не получают соответствующую метку зоны безопасности при загрузке из интернета.

В результате операционная система считает файл «доверенным» и запускает его без вывода предупреждающего окна SmartScreen. Данная брешь активно используется в цепочках атак (вместе с CVE-2023-38831 и CVE-2024-21412) для скрытной доставки вредоносного ПО, обходя механизмы защиты Windows Defender и политики ограничения запуска приложений.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от апреля 2024 года (Patch Tuesday).

  1. Для рабочих станций под управлением Windows 10/11: Перейдите в «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows» и нажмите «Проверить наличие обновлений».

  2. Для системного администрирования (PowerShell): Используйте модуль PSWindowsUpdate для принудительной установки патчей.

Install-Module PSWindowsUpdate
Get-WindowsUpdate -KBArticleID KB5036892, KB5036893 -Install -AcceptAll -AutoReboot

Примечание: Номера KB могут варьироваться в зависимости от версии ОС (например, KB5036893 для Windows 11 23H2).

  1. Проверка версии файла: Убедитесь, что версия библиотеки smartscreen.dll была обновлена до актуальной.
(Get-Item $env:SystemRoot\System32\smartscreen.dll).VersionInfo.FileVersion

Временные меры

Если немедленная установка патчей невозможна, необходимо применить следующие меры для снижения риска эксплуатации:

  1. Блокировка запуска подозрительных расширений через AppLocker или Windows Defender Application Control (WDAC). Ограничьте запуск файлов с расширениями .url, .lnk, .zip, полученных из внешних источников.

  2. Настройка политик обработки вложений в Outlook и браузерах. Включите принудительное добавление MotW через групповые политики (GPO).

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments" -Name "SaveZoneInformation" -Value 2
  1. Усиление защиты SmartScreen через реестр (Force Enable):
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System" -Name "EnableSmartScreen" -Value 1
  1. Мониторинг событий создания процессов (Event ID 4688) и сетевых соединений для выявления аномальной активности процессов, запускаемых из временных папок браузеров или почтовых клиентов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей